- Firezone〜ソフトウェアVPNのWireGuard管理ソフト〜
- Firezoneとは、VPNを実装するWireGuardの管理ツールです。ここでは、Firezoneの特徴や機能を紹介します。
- Firezone管理者マニュアル
- デージーネットで作成しましたFirezone管理者マニュアルです。
- Firezone利用者マニュアル
- デージーネットで作成しましたFirezone利用者マニュアルです。
Firezone〜ソフトウェアVPNのWireGuard管理ソフト〜
最近はリモートワークも増え、自宅などから、社内ネットワークに繋ぐためにVPNソフトウェアを利用する機会も増えています。WireGuardは、OSSのVPNソフトウェアのひとつですが、一般ユーザには使用しにくい課題がありました。今回は、WireGuardの課題を解決するVPN管理ソフトウェアFirezoneを紹介します。
WireGuardの課題
OSSのWireGuardは、VPNソフトウェアとして手軽に利用することが可能です。最先端かつ信頼のできる暗号方式を採用しており、Curve25519やChaCha20、Poly1305などの暗号技術が利用されています。WireGuardは、従来のVPNソフトウェアよりも効率よく通信ができるように設計されており、公式のベンチマーク結果では、OpenVPNやIPSecよりも高速に動作すると報告されています。しかし、WireGuardには以下の課題がありました。
- 一度クライアントにVPN設定を行うと、認証無しで接続ができる
- クライアントのVPN設定が流出した場合に、誰でも接続ができてしまう
- 2要素認証などのセキュリティを強化する仕組みがない
- GUIが無いためコマンドラインでの操作が必須
このため、WireGuardを標準機能で利用した場合、個人利用や拠点間を結ぶVPNとしての利用など、特定の用途に使用が限定されていました。
Firezoneとは
Firezoneとは、上記に記載した、WireGuardの課題を解決するソフトウェアです。Firezone, Inc.のプロジェクトによって、Apache License 2.0でオープンソースソフトウェアとして公開されています。Firezoneは、オムニバス方式とDocker方式の2種類の方法でインストールを行うことができます。しかし、Firezoneの公式webサイトによると、オムニバス方式は、自動化ツールであるchefが2024年にEOLを迎えるため、非推奨とする文が記載されています。
Firezoneログイン画面
Firezoneの特徴
VPN管理ソフトウェアFirezoneには、以下の特徴があります。
GUIでVPNの管理ができる
Firezoneは、VPNを利用するユーザの作成・削除やVPNの設定をGUI(グラフィカル ユーザ インターフェース)から管理することができます。WireGuardのみ利用する場合は、ユーザやVPNの設定にコマンドラインの操作が必要でした。またVPN接続時に払い出すIPアドレスの使用状況もすべて管理者が管理する必要がありました。Firezoneでは、使用状況も代わりに管理することができます。
設定画面
セキュリティ機能で安心して利用できる
Firezoneには、ログイン認証が必要な期間を設定することが可能です。認証を確認する頻度は、下記のリストのように設定することができます。
- Never(ログイン認証不要)
- Once(一度のみ)
- Every hour(1時間ごと)
- Every Day(1日ごと)
- Every Week(1週間ごと)
- Every 30 days(30日ごと)
- Every 90 days(90日ごと)
接続設定画面
VPN利用のコスト削減
リモートワークが増え、社内ネットワークに接続するために、VPNを利用する企業が増加しています。VPNの利用にユーザ単位でライセンス費用が発生する場合、膨大な費用がかかる可能性があります。その点、WireGuardやFirezoneは、オープンソースソフトウェアのため、ユーザ数増加に伴って、追加のライセンス費用が跳ね上がる心配もありません。そのため、導入や運用のコストを削減することができます。
Firezoneの機能
Firezoneには、次のような機能があります。
ユーザやVPN設定の管理
VPNを利用するユーザの作成やクライアントの設定、VPN接続の停止をGUIで簡単に行うことができます。有効期限付きのVPN設定や再認証の設定も行うことが可能です。
ユーザ一覧画面
2要素認証
ワンタイムパスワードを利用した2要素認証を行うことができます。2要素認証の設定は、ユーザ自身で行うことができます。設定画面でQRコードが表示されるため、そのコードを「Google Authenticator」などのアプリで読み取ることで、ワンタイムトークンが発行され2要素認証を行うことができます。
2要素認証設定
シングルサインオン
SAMLやOIDCに対応しているため、シングルサインオンを行うことができます。この機能を利用すると、KeycloakなどのSSOの仕組みを経由して、既存のLDAPやActiveDirectoryのID・パスワードでログインすることができます。
シングルサインオン設定
「Keycloak〜SAMLにも対応したシングルサインオン〜」へ
ユーザごとに接続先を制限
ユーザがVPN接続時にどのホストに接続するか、ユーザ単位で制限することができます。VPN接続でネットワーク全体のアクセスを許可するだけではなく、ユーザごとに利用を制限でき、セキュリティも強化できます。
Firezoneの課題
VPNの管理を行うことができるFirezoneですが、以下の課題も存在します。
- 日本語化されていない
英語で公開されているソフトウェアのため、日本語化の仕組みがありません。またElixirという比較的新しい言語で作られているため、翻訳などのカスタマイズが難しい現状です。
- パスワードのポリシーを変更できない
元の機能のままでは、12文字以上、文字数制限無しというルールを変更することができません。
- 2要素認証の設定がユーザに委任
ユーザが自分で2要素認証を設定できるのはメリットですが、自分で外してしまう可能性があり全体での統一が難しい場合があります。
- VPNのアクセスログが残らない
こちらは、WireGuardの仕様ですが、VPNのアクセスログをデータとして残す仕組みがありません。
課題の対策
上記で説明したFirezoneの課題の多くは、IdPと連携することで解決することができます。例えば、IdPとしてKeycloakを利用することで、パスワードのポリシー設定ができ、2要素認証を管理者が強制することができます。そして、Firezoneのローカル認証を無効にしてSSOのみにすることで、セキュリティの課題を解決することができます。
また、日本語化については、SSO連携することでユーザのログイン画面は日本語化できるため、認証・2要素認証の設定までのフローは、日本語で対応することができます。
デージーネットの取り組み
デージーネットでは、KeycloakなどのIdPとの連携や、付属ツールの開発などの他、より便利にFirezoneを利用できる方法を今後検討していきます。インストール方法などの詳しい情報は、Firezone調査報告書に掲載しています。
「情報の一覧」
Firezone調査報告書
Firezoneとは、VPNを実装する「WireGuard」の管理ツールです。本書は、VPN管理ソフトウェア「Firezone」についての最新の情報が含まれた調査報告書です。リンク先より無料でダウンロードが可能です。
WireGuard〜OSSのVPNソフトウェア〜
OpenVPNやIPSecなどの今までのVPNサーバーの設定は、一般のユーザーには非常にハードルが高く簡単に構築することができませんでした。ここでは、OpenVPNやIPSecにかわるVPNソフトウェアのWireGuardについて紹介します。
Keycloak〜SAMLにも対応したシングルサインオン〜
Keycloakは、シングルサインオンのOSSです。様々なクラウドサービスと企業内のユーザ管理の仕組みを統合するために利用することができます。ここでは、Keycloakの機能や特徴、OpenAMとの違いについて解説します。
デモのお申込み
もっと使い方が知りたい方へ
操作方法や操作性をデモにてご確認いただけます。使い方のイメージを把握したい、使えるか判断したい場合にご活用下さい。デモをご希望の方は、下記よりお申込みいただけます。
